歐盟資料保護工作小組修正通過GDPR個人資料當事人同意指引

  因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或譯為一般資料保護規則,下簡稱GDPR)執法之需,針對個人資料合法處理要件之一當事人「同意」,歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)特於本(2018)年4月10日修正通過「當事人同意指引」(Guidelines on consent under Regulation 2016/679),其中就有效同意之要件、具體明確性、告知、獲得明確同意,獲有效同意之附加條件、同意與GDPR第6條所定其他法定要件之競合、兒少等其他GDPR特別關切領域,以及依據指令(95/46/EC)所取得之當事人同意等,均設有詳盡說明與事例。

  GDPR第4條第11項規定個人資料當事人之同意須自由為之、明確、被告知,及透過聲明或明確贊成之行為,就與其個人資料蒐集、處理或利用有關之事項清楚地表明其意願(unambiguous indication)並表示同意。殊值注意的是,如果控制者選擇依據當事人同意為任何部分處理之合法要件,須充分慎重為之,並在當事人撤回其同意時,即停止該部分之處理。如表明將依據當事人同意進行資料之處理,但實質上卻附麗於其他法律依據,對當事人而言即顯係重大不公平。

  換言之,控制者一旦選擇當事人同意為合法處理要件,即不能捨同意而就其他合法處理的基礎。例如,在當事人同意之有效性產生瑕疵時,亦不允許溯及援引「利用合法利益」(utilise the legitimate interest)為處理之正當化基礎。蓋控制者在蒐集個人資料之時,即應揭露其所依據之法定要件,故必須在蒐集前即決定其據以蒐集之合法要件為何。

相關連結
※ 歐盟資料保護工作小組修正通過GDPR個人資料當事人同意指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=156&d=8043 (最後瀏覽日:2018/10/23)
引註此篇文章
你可能還會想看
澳洲個人資料洩漏計畫將於二月施行

  澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme),該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。   根據該計畫,受APPs約束的機構於發生個資洩露事件時,必須通知當事人以及可能會造成的相關損害,另外也必須通知澳洲私隱辦公室(Office of the Australian Information Commissioner, OAIC)相關資訊。   NBD計畫主要內容如下:   一 、規範對象: 包括澳洲政府機構,年營業額超過300萬澳幣企業和非營利組織、私營醫療機構、信用報告機構、信貸提供者、稅號(TFN)受領人。 若數機構共享個人資料,則該告知義務由各機構自行分配責任。 關於跨境傳輸,根據APPs原則,於澳洲境外之機構必須以契約明定受澳洲隱私法規範,原則上若因境外機構有洩漏之虞,澳洲機構也必須負起責任。   二 、個資洩露之認定: 未經授權進入或擅自公開該機構擁有的個人資訊或個人資料滅失。 可能會對一個或多個人造成嚴重傷害(如身分竊盜、導致個人嚴重經濟損失、就業機會喪失、名譽受損等等)。 個資外洩機構無法通過補救措施防止嚴重損害的風險。   三 、OAIC所扮演之角色: 接受個資外洩之通報。 處理投訴、進行調查並針對違規事件採取其他監管行動。 向業者提供諮詢和指導。   四 、於下列情形可免通知義務: 為維護國家安全或增進公共利益所必要。 與其他法案規定相牴觸者。   五 、通知內容: 洩露資料的種類及狀況。 發生個資外洩事件機構之名稱以及聯繫窗口。 個資當事人應採取之後續行動,避免再度造成損害。   惟NBD 計畫對於個人資料的安全性沒有新的要求,主要是對APPs的補充,針對持有個人資料的機構採取合理措施,保護個人資料免遭濫用、干擾或損失, OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。

歐盟理事會將嚴格執行資料保護基本權

  歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則(一般資料保護規則)」(Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR),該草案內容包括行政罰鍰三審制(three-tiered system)。凡故意或過失違反歐洲資料保護基本權之企業,情節重大者,可能招致鉅額行政罰鍰,草案之裁罰性措施將讓從業者更加重視資料保護法益。   是否對違反GDPR之侵權行為裁處罰鍰,會員國政府有裁量權限;已受刑事制裁者,政府亦得免除罰鍰以避免重複處罰。資料保護主管機關(data protection authorities, DPAs)依三審制判斷,確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括:第一審,是否對資料當事人之資料要求延遲、變更回應;第二審,是否對資料當事人、DPAs盡資訊透明義務;第三審,各種具體侵權行為,包括對於資料取得缺乏法律依據、未能即時告知資料違反情事,或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。   依草案,DPAs審酌罰鍰額度時,應依下列計算罰鍰:   (1) 企業故意或過失未能於一定期間內,回應資料當事人之資料查閱請求者,裁處上一會計年度全球總年營業額0.5%罰鍰。   (2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊;或未能對消費者充分揭露個人資料蒐集、處理的目的者,裁處上一會計年度全球總年營業額1%罰鍰。   (3) 企業故意或過失未能維護消費者權益,更正或刪除消費者資料,違反GDPR所保障之消費者「被遺忘權」者,裁處上一會計年度全球總年營業額1%罰鍰。   (4) 企業故意或過失處理個人資料,行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域,該區域沒有適當安全資料保護者,就企業上一會計年度全球總年營業額裁處2%罰鍰。   六月中旬,歐盟各部長將就歐洲議會、歐盟理事會的提案,就罰鍰額度進行最後協商,未來將持續關注草案協商後續發展。

德國隱私保護機構指稱Facebook實名制違法

  Facebook之實名制政策禁止用戶使用假名,此一行為已遭德國隱私保護機構禁止。德國Schleswig-Holstein邦的資料保護中心組織(Office of the Data Protection Commissioner,簡稱ULD)控訴臉書「實名制」已違反德國電信媒體法(Telemediengesetz)。依據德國「電信媒體法」規定,只要匿名的使用具有技術上之合理性及可行性時,服務供應商必須允許用戶採用假名,惟Facebook的實名制政策卻禁止用戶使用假名。資料保護中心表示,Facebook要求用戶註冊時須填入真實姓名,違反德國電信媒體法第13條第6項。ULD表示,為確保網路用戶權利及遵守網路保護法,臉書應立即終止實名制的執行。Facebook發言人則對ULD指控不以為然,主張「服務供應商有權在現行法律下自行決定所採取之匿名政策」,並表示Facebook採取實名制係為保護社群安全,若發現用戶使用假名將刪除帳號。Facebook發言人認為「這只是在浪費德國納稅人的金錢!此法律之指控毫無意義,同時我們也將據理力爭。」Facebook認為,實名制是該網站經營之重要機制,除了能與其他社群網站做出明顯的市場區隔外,更能積極保護用戶的個人資料。

美國廢止FCC對ISP之隱私權規則

  2016年10月27日,FCC依據傳播法案(Communication Act)第222條通過《寬頻用戶隱私保護規則》(Rules to Protect Broadband Consumer Privacy, 下稱2016 Privacy Order)。2016 Privacy Order主要包含以下三點: 選擇加入(Opt-in):當使用或分享消費者之「敏感資訊」,須事先取得消費者明確之同意。「敏感資訊」包括精確的地理定位資訊、財務資訊、健康資訊、孩童資訊、社會安全號碼(Social Security Number, SSN)、網站瀏覽與應用程式使用紀錄,以及通訊內容。 選擇退出(Opt-out):對於符合消費者期待的「非敏感資訊」,除非客戶Opt-out,ISP業者皆能在未取得消費者事先同意之情況下自由使用與分享。例如電子郵件位址與服務介面資訊(service tier information)。 例外:推定客戶會同意之資訊,例如在客戶與ISP業者建立關係後,不須額外取得寬頻服務或計費之同意。   2016 Privacy Order通過後受到ISP業者大力抨擊,尤其是網站瀏覽與應用程式使用紀錄亦須取得消費者事先同意之部分,其認為如此可能扼殺電子商務發展,消費者亦可能被不必要的警示轟炸。由於2016 Privacy Order引起諸多不平,因此通過後半年,美國參議院與眾議院分別於2017年3月投票廢止,總統並於4月3日正式簽署此份國會審查法案(Congressional Review Act)。   廢止《寬頻用戶隱私保護規則》之原因為,消費者之個人資料雖可受到保護,但該規則僅適用於寬頻服務提供者與其他電信供應商,並不包含網站與前端服務(edge services)。是以僅ISP業者受到較嚴厲之管制,其餘網路服務則由FTC管轄,而FTC對隱私權之規範較為寬鬆,因此可能發生提供不同服務的兩家業者使用同一份客戶資料,受到的管制程度卻不同之情形。   贊成2016 Privacy Order之議員與消費者自助組織(consumer-advocacy groups)表示ISP業者應受到較嚴厲之規範,因消費者能輕易在網站間轉換,卻不能輕易更換ISP,且ISP得以取得消費者在所有網站上之瀏覽資料,但如Google與Facebook等大廠雖非ISP業者,卻亦能取得不限於自身網站的客戶瀏覽資料。   由於《寬頻用戶隱私保護規則》已正式廢止,FCC將不得再通過其他相同或實質上相同之規範,對ISP業者之管制回歸《傳播法案》第222條,亦即,對於網站瀏覽與應用程式使用紀錄之使用或分享,不須取得客戶之事先同意。

TOP